ÚOOÚ: Poznatky z ohlašování porušení zabezpečení osobních údajů

01.10.2019 18:17 | Zprávy

Úřad pro ochranu osobních údajů zveřejnil své poznatky z ohlašování porušení zabezpečení osobních údajů. Kromě statistických údajů se jedná také o rady a doporučení, jak těmto nepříjemnostem předejít. Pro efektivnější způsob jejich ohlašování navíc představuje nový formulář, který je již k dispozici na jeho webových stránkách.

ÚOOÚ: Poznatky z ohlašování porušení zabezpečení osobních údajů

Foto: ČT
Popisek: ÚOOÚ

Účinností GDPR vznikla správcům povinnost ohlašovat Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů vyvolávající riziko pro práva a svobody fyzických osob. Ode dne účinnosti obdržel Úřad celkem 600 ohlášení o porušení zabezpečení osobních údajů.

Velká část z ohlášených porušení zabezpečení osobních údajů se týkala napadení informačního systému, resp. získání přístupu k informačnímu systému prostřednictvím úspěšného phishingového útoku. Zaměstnanci správce či zpracovatele, velmi často na základě zaslaného zavádějícího či podvrženého e-mailu, v tomto případě zpřístupnili přístupové údaje, které následně útočník zneužil. Šlo především o krádež informací, ale i o odeslání dalších phishingových e-mailů zaměstnancům nebo na kontakty, se kterými uživatel e-mailové schránky komunikoval.

Velká část úspěšných phishingových útoků vyústila v umístění škodlivého programu do informačního systému, který zašifroval informace a požadoval k jejich odblokování výkupné (tzv. ransomware).

Jednou z účinných obran proti této formě počítačové kriminality (ransomware), co do vztahu k rizikovosti takového incidentu dle GDPR, je pravidelné zálohování informací. Zásadou je, aby potřebná data bylo možno po útoku ransomware obnovit a zároveň nedošlo ke ztrátě kontinuity fungování organizace, resp. jejímu nepříznivému narušení.

Pokud došlo k úspěšné obnově osobních údajů bez dalších vážných přetrvávajících důsledků, taková událost nepředstavuje zpravidla riziko pro subjekty údajů a nevyžaduje ohlašování Úřadu.

Riziko porušení zabezpečení osobních údajů posuzuje vždy komplexně správce na základě informací, kterými disponuje. Mezi posuzovanými okolnostmi v případě napadení ransomwarem tak musí být i okolnost, zdali se útočník nezmocnil osobních údajů v tom smyslu, že by jimi i zároveň disponoval.

V předcházení uvedeným formám počítačové kriminality je nezastupitelnou rolí zaměstnavatele také informovat zaměstnance o těchto rizicích v rámci školení počítačové bezpečnosti. Samozřejmostí je nastavení adekvátních pravidel ve vztahu k používaným informačním systémům a zpracovávaným kategoriím osobních údajů.

Tento článek je uzamčen

Článek mohou odemknout uživatelé s odpovídajícím placeným předplatným, nebo přihlášení uživatelé za Prémiové body PL

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

Líbil se Vám tento článek?

Nezávislost naší redakce můžete podpořit peněžitým darem v jakékoliv výši bankovním převodem na účet:

131-981500247/0100

QR kód obsahuje údaje k platbě, výši částky si určete sami.

Jste politik? Zveřejněte bez redakčních úprav vše, co chcete. Zaregistrujte se ZDE.

Jste čtenář a chcete komunikovat se svými zastupiteli? Zaregistrujte se ZDE.

Článek obsahuje štítky

ÚOOÚ

autor: Tisková zpráva

předložte důkaz

na základě čeho a jak jste došel k závěru, že Ukrajina brání Evropu před ruskou agresí. Buďte prosím konkrétní a předložte jasné důkazy, že Rusko plánuje napadnout Evropu. Pokud je nemáte, tak se za tu dezinformaci a strašení omluvte.

Odpověď na tento dotaz zajímá celkem čtenářů: